WORM_FLYSTUD.QWI
Win32/AutoRun.FlyStudio.ZE (NOD32); W32.SillyFDC (Symantec)
Windows 2000, Windows XP, Windows Server 2003
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、感染ネットワーク共有フォルダを介して、コンピュータに侵入します。
インストール
ワームは、以下のファイルを作成します。
- %System Root%\autorun.inf\desktop.ini
- %Program Files%\autorun.inf\desktop.ini
- %Program Files%\Windows Media Player\autorun.inf\desktop.ini
- %User Temp%\E_N4\eAPI.fne
- %User Temp%\E_N4\internet.fne
- %User Temp%\E_N4\krnln.fnr
- %User Temp%\E_N4\Md5.fne
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%は、標準設定では "C:\Program Files" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡
(註:%Program Files%は、標準設定では "C:\Program Files" です。)
ワームは、以下のフォルダを作成します。
- %System Root%\autorun.inf
- %System Root%\autorun.inf\ÎļþÃâÒß.
- %Program Files%\autorun.inf
- %Program Files%\autorun.inf\ÎļþÃâÒß.
- %Program Files%\Windows Media Player\autorun.inf
- %Program Files%\Windows Media Player\autorun.inf\ÎļþÃâÒß.
- %User Temp%\E_N4
- %Program Files%\Windows Media Player\c\f
- %Program Files%\Windows Media Player\c\f\c
- %Program Files%\Windows Media Player\c\f\c\d
- %Program Files%\Windows Media Player\c\f\c\d\2
- %Program Files%\Windows Media Player\c\f\c\d\2\0
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf
(註:%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。. %Program Files%は、標準設定では "C:\Program Files" です。. %User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\<ユーザー名>\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\TEMP" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = Userinit,"%Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡
(註:変更前の上記レジストリ値は、「C:\WINDOWS\system32\userinit.exe,」となります。)
他のシステム変更
ワームは、以下のレジストリキーを追加します。
HKEY_CLASSES_ROOT\.exe¡¡
HKEY_CURRENT_USER\Software\LoveQ
感染活動
ワームは、すべての物理ドライブおよびリムーバブルドライブ内でフォルダを検索し、検索したフォルダ内に "<フォルダ名>.EXE" として自身のコピーを作成します。
ワームは、以下のファイル名を用いて、ネットワーク共有フォルダ内に自身のコピーを作成します。
- ...exe
- ..exe